河南省科學(xué)技術(shù)信息研究院 徐 棟

專用網(wǎng)安全技術(shù)分析

河南省科學(xué)技術(shù)信息研究院 徐 棟

專用網(wǎng)（PrivateNetwork）指某個(gè)部門為滿足本單位特殊業(yè)務(wù)工作的需要而建造的網(wǎng)絡(luò)。伴隨著計(jì)算機(jī)網(wǎng)絡(luò)與信息技術(shù)的飛速發(fā)展，社會(huì)信息化程度也越來越高，軍隊(duì)、銀行、鐵路、電力等部門均建立了本系統(tǒng)的專用網(wǎng)。近幾年不斷出現(xiàn)的網(wǎng)絡(luò)安全事故表明，網(wǎng)絡(luò)攻擊行為已經(jīng)由因特網(wǎng)蔓延到了專用網(wǎng)，而且專用網(wǎng)上的安全事故造成的危害和損失更大。因此，本文，筆者在深入分析專用網(wǎng)安全現(xiàn)狀及安全需求的基礎(chǔ)上，提出了相應(yīng)的安全策略，并引入了對(duì)應(yīng)的安全技術(shù)。

一、專用網(wǎng)與因特網(wǎng)安全需求的不同

1.開放程度不同。因特網(wǎng)的開放性使得任何人都可以成為攻擊者或被攻擊者，因此，網(wǎng)絡(luò)安全難以控制。而專用網(wǎng)受接入人員和接入地點(diǎn)的限制，且與因特網(wǎng)物理隔離，安全策略的部署和實(shí)施與因特網(wǎng)相比較為簡(jiǎn)單。

2.網(wǎng)絡(luò)結(jié)構(gòu)不同。因特網(wǎng)的主要目的是實(shí)現(xiàn)開放性互聯(lián)及多樣性服務(wù)，為滿足以上需求而引入的網(wǎng)絡(luò)設(shè)備安全性不高。而專用網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)固定且業(yè)務(wù)專一，在引入網(wǎng)絡(luò)設(shè)備和相關(guān)技術(shù)時(shí)應(yīng)在滿足業(yè)務(wù)需要的同時(shí)兼顧安全需求。

3.安全威脅不同。因特網(wǎng)上最大的安全威脅來自于竊取主機(jī)控制權(quán)。而專用網(wǎng)上最大的安全威脅來自于越權(quán)訪問和信息的泄露。

二、專用網(wǎng)安全需求分析

解決專用網(wǎng)安全問題需要考慮專用網(wǎng)自身的建設(shè)與發(fā)展過程。以銀行網(wǎng)絡(luò)為例，在建設(shè)之初，由于網(wǎng)絡(luò)安全問題并不突出，安全需求也不明確，設(shè)計(jì)主要是為了解決互聯(lián)互通的問題，在安全設(shè)計(jì)上比較薄弱。近年來，網(wǎng)絡(luò)安全問題日益嚴(yán)峻，銀行也逐漸加大了在安全上的投入，配置了如防火墻和入侵檢測(cè)系統(tǒng)等多種安全設(shè)備，但由于缺乏頂層規(guī)劃，各種網(wǎng)絡(luò)安全設(shè)備的部署并沒有發(fā)揮出最佳效能。因此，應(yīng)從總體上考慮專用網(wǎng)的安全問題，制定有效的專用網(wǎng)安全策略用于指導(dǎo)各種設(shè)備的部署與配置，并且引入先進(jìn)的安全技術(shù)來增強(qiáng)專用網(wǎng)的安全性能。

三、專用網(wǎng)安全策略

1.建立基于業(yè)務(wù)流的安全模型。專用網(wǎng)的特點(diǎn)決定了專用網(wǎng)上的業(yè)務(wù)關(guān)系。為了增強(qiáng)專用網(wǎng)的安全，可對(duì)專用網(wǎng)上不同業(yè)務(wù)機(jī)關(guān)之間存在的橫向信息流和縱向信息流進(jìn)行細(xì)致的區(qū)分，并且根據(jù)不同業(yè)務(wù)機(jī)關(guān)不同的安全需求制定各信息流的安全策略，建立基于業(yè)務(wù)流的安全模型。同時(shí)，要嚴(yán)格控制除業(yè)務(wù)關(guān)系之外的信息流動(dòng)。

2.基于最大隔離準(zhǔn)則的設(shè)備配置方案。在建立了基于業(yè)務(wù)流的安全模型的基礎(chǔ)上，為了防范專用網(wǎng)上的越權(quán)訪問、網(wǎng)絡(luò)監(jiān)聽等引起的信息泄露，在部署與配置專用網(wǎng)網(wǎng)絡(luò)設(shè)備及安全設(shè)備時(shí)，采用基于最大隔離準(zhǔn)則的設(shè)備配置方案。最大隔離準(zhǔn)則的目的是實(shí)現(xiàn)專用網(wǎng)中信息節(jié)點(diǎn)邏輯上的隔離，盡量避免不必要的網(wǎng)絡(luò)連通。

3.建立應(yīng)急響應(yīng)體系及安全管理制度。為了快速、有效地解決專用網(wǎng)上發(fā)生的惡意攻擊、網(wǎng)絡(luò)病毒發(fā)作、網(wǎng)絡(luò)蠕蟲傳播等安全事件，在制定專用網(wǎng)安全策略時(shí)，還必須制定嚴(yán)格的安全管理制度，建立應(yīng)急響應(yīng)體系。通過安全管理制度及應(yīng)急響應(yīng)體系，可以提高專用網(wǎng)內(nèi)人員的安全意識(shí)，增強(qiáng)專用網(wǎng)內(nèi)緊急安全事件協(xié)同處理的能力，從而快速發(fā)現(xiàn)、抑制和解除網(wǎng)絡(luò)入侵，并將其危害降至最低。

四、專用網(wǎng)應(yīng)引入的安全技術(shù)

1.VLAN技術(shù)。VLAN又稱為虛擬局域網(wǎng)，1999年IEEE頒布了用標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的IEEE802.1Q協(xié)議標(biāo)準(zhǔn)草案。它是一種根據(jù)功能、應(yīng)用等因素將局域網(wǎng)內(nèi)的設(shè)備邏輯地址劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)功能相對(duì)獨(dú)立的虛擬工作組技術(shù)。在劃分了VLAN后，由于各個(gè)VLAN之間不能直接進(jìn)行數(shù)據(jù)通信，必須通過路由器來轉(zhuǎn)發(fā)VLAN之間的數(shù)據(jù)，如果VLAN之間沒有路由器，那么VLAN就是與外界其他設(shè)備相隔離的，相當(dāng)于一個(gè)獨(dú)立的局域網(wǎng)，安全性可以得到很大程度地提高。VLAN技術(shù)需要網(wǎng)絡(luò)設(shè)備的支持，配置了三層交換機(jī)的專用網(wǎng)可以按照基于業(yè)務(wù)流的安全模型對(duì)本級(jí)局域網(wǎng)進(jìn)行VLAN劃分，從而保證不同業(yè)務(wù)流間的相互隔離，防范網(wǎng)絡(luò)監(jiān)聽手段的入侵。

2.VPN技術(shù)。VPN又稱為虛擬專用網(wǎng)，是對(duì)通過共享公用網(wǎng)絡(luò)（如Internet）并使用封裝、加密和身份認(rèn)證等技術(shù)進(jìn)行內(nèi)部網(wǎng)絡(luò)的擴(kuò)展。之所以提出該技術(shù)的是為了方便在公用網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上建立專用網(wǎng)絡(luò)。在專用網(wǎng)中對(duì)路由器、防火墻等設(shè)備進(jìn)行配置，采用VPN技術(shù)將不同節(jié)點(diǎn)間有業(yè)務(wù)關(guān)系的計(jì)算機(jī)進(jìn)行互連，可以實(shí)現(xiàn)專用網(wǎng)中的虛擬網(wǎng)。由于VPN提供了對(duì)VPN2端的身份認(rèn)證和訪問控制以及對(duì)傳輸數(shù)據(jù)的信息加密和信息認(rèn)證，因此，能夠有效地防范截?cái)喙艉透`聽攻擊。而且良好的VPN應(yīng)用可在不同層次實(shí)現(xiàn)不同的VPN隧道協(xié)議，從而對(duì)數(shù)據(jù)進(jìn)行保護(hù)。

3.HoneyPot和HoneyNet技術(shù)。近年來，一種新的主動(dòng)防御型安全技術(shù)——蜜罐技術(shù)成為研究的熱點(diǎn)，它可以有效地欺騙網(wǎng)絡(luò)攻擊者從而達(dá)到保護(hù)網(wǎng)絡(luò)的目的。后來又出現(xiàn)了Honeynet（蜜網(wǎng)），它將單個(gè)的蜜罐連成網(wǎng)絡(luò)，是具有高交互性能的蜜罐。采用應(yīng)用型蜜罐并將其放置在在專用網(wǎng)中，與其他安全設(shè)備及安全技術(shù)共同保護(hù)專用網(wǎng)，可以有效增強(qiáng)專用網(wǎng)的安全性，蜜罐所起的作用是其他安全設(shè)備或安全技術(shù)所無法替代的，蜜罐技術(shù)會(huì)欺騙攻擊者將攻擊方向轉(zhuǎn)向自己，從而拖延或使攻擊者放棄對(duì)真實(shí)網(wǎng)絡(luò)環(huán)境的攻擊。